Firewall-cgi und VoIP-Probleme?

[PEPITO82]

Mir geht es mal wieder um die Firewall-cgi.

Diese soll sich ja mit VOIP nicht so vertragen. Was kann ich darunter verstehen? Wird VOIP gar nicht mehr funktionieren?

Was ich bräuchte ist ne wirklich einfache Lösung um ein paar Leute anhand der MAC-Adresse aus dem an die Fritz!Box angeschlossene Netzwerk auszusperren. Ich sollte hier von Sydney aus am besten alles soweit vorbereiten können und dann nur noch es vor Ort von jemanden einspielen lassen müssen. Das Feintuning sollte dann über Remotezugriff machbar sein.

Das hört sich ziemlich nach dem ds-mod an.
Am besten wäre es natürlich, wenn VOIP weiterhin möglich ist. Aber zur Not würde ich auch schweren Herzens darauf verzichten und auf ein baldiges Update hoffen, welche auch dieses ermöglicht.

Muss ich beim zusammenstellen des ds-mod eigentlich irgendwas bei der Paketwahl noch berücksichtigen, wenn ich die Firewall nutzen möchte?

Liebe Grüße aus Sydney,

Peter

P.S.: Danke gandalf für das neue Thema.

 

[gandalf94305]

Hallo PEPITO Down Under ;-)

Ich habe Dein Posting mal in einen neuen Thread gesetzt, da der andere mit fast 1000 Postings doch etwas unübersichtlich wird und schließlich das gesamte Forum um ds-mod geht ;-)

--gandalf.

 

[danisahne]

Ich lasse nun in der Version ds-0.2.6 mit einem Hack die Firewall vor den ganzen voip und net Startskripten ausführen. Bringt das etwas? Ich kanns schlecht testen.

Ansonsten hast du deine Frage schon öfters hier gestellt. Wenn das jetzt immer noch nicht klappt, dann kannst du nicht viel vorbereiten. Es muss jemand an die Box ran, der iptables kann und die Firewall dann per Hand ohne ip_conntrack schreibt.

Mfg,
danisahne

 

[PEPITO82]

danke Daniel für deine schnelle Antwort. Wenn ich nun also den ds-0.2.6 kompiliere, dann sind die Änderungen schon enthalten?

Werde es dann einfach mal wagen und mir ne neue Firmware zusammenbasteln, sowie diese dann in die Fritz!Box einspielen lassen.

 

[jebu81]

Achtung!?

Ich lasse nun in der Version ds-0.2.6 mit einem Hack die Firewall vor den ganzen voip und net Startskripten ausführen. Bringt das etwas? Ich kanns schlecht testen.

Ich glaube das hat mir die Box zerschossen bzw. zum Recover-Fall gemacht.
Die 0.2.6 habe ich wie immer problemlos geflasht, auch nach einem Neustart war noch alles OK. Zwischendurch habe ich noch die iptables über firewall-cgi aktiviert, telefon machte die bekannten Probleme, Neustart und alles war wieder gut.
Dann hab ich Deine Info da oben gelesen und die Firewall automatisch starten lassen. Damit habe ich mich dann komplett ausgesperrt. Nach einem Reboot ging dann nix mehr bis auf eine in vielleicht 10 s Abstand blinkende Power-LED, die restlichen LEDs anschließend schwach "aufblitzend".
Die Whitelist kann eigentlich nicht falsch sein, da beim manuellen Start ja alles lief. LAN A und WLAN sind komplett offen.

 

[jebu81]

Ich glaube das hat mir die Box zerschossen bzw. zum Recover-Fall gemacht.

Mittlerweile glaube ich das nicht nur sondern habe es gerade zum zweiten mal bewiesen.
Firewall automatisch starten, simple Whitelist (s.u., natürlich ohne x) und schon habe ich einen vorübergehenden Briefbeschwerer.

192.168.1x1.0/24
192.168.1x1.0/24
192.168.1x1.0/24 * * usb

192.168.1x2.10 00:14:BF:xx:xx:xx T20,T21,T22,T25,53,T80,T110,U123,T143,T443,T995,U1812-1813 eth1_FON-AP

 

[danisahne]

Ist es sofort nach Neustart ein "Briefbeschwerer" oder erst ein paar Minuten später.

Meinst du mit Briefbeschwerer, dass du die Box nicht mehr erreichen kannst oder dass du nicht mehr ins Internet kannst?

 

[jebu81]

Sofort nach Neustart geht gar nix mehr. Die Power-LED leuchtet durchgehend, die restlichen LED blinken mit bestimmt mehr als 10 s Abstand kurz auf.
Per Syslog meldet die Box sich überhaupt nicht. Telnet geht nicht. Ping habe ich nicht alle möglichen Adressen probiert, hatte es eilig das Teil wieder ans Laufen zu bringen.

 

[danisahne]

Und das hängt wirklich reproduzierbar von firewall-cgi ab?

 

[jebu81]

In zwei von zwei Fällen war die Box platt. Jedes mal habe ich den Starttyp der Firewall auf automatisch gesetzt, sonst keine Änderungen. Generell läuft alles stabil.

OpenVPN hab ich neu drin, aber auch schon als Add-on mit 0.2.5 gehabt. Starte ich zur Zeit aber noch von Hand. Sonst nur dropbear, callmonitor, dnsmasq, wol.

Ich habe für die 0.2.6 auch keinen eigenen Kernel wegen des ip_conntrack-Problems gebaut.

 

[maceis]

Hier mal meine Erfahrungen mit iptables.
Vielleicht hilft es weiter.

Ich hatte nur firewall-cgi ausgewählt, konfiguriere iptables aber mithilfe eines Skriptes (das ich via debug.cfg nach /var/tmp schreibe) und nicht über's Webinterface.
Das hat bei 0.2.5 funktioniert und funktioniert mit 0.2.6 ebenfalls völlig problemlos.

Bei VoIP habe ich keinerlei Einschränkungen festgestellt.
Ich muss allerdings zugeben, dass ich keine Ahnung habe, was "ip_conntrack" ist (vermutlich Connection tracking). Jedenfalls habe ich außer firewall-cgi nichts ausgewählt.

HTH

 

[jebu81]

Ich konnte es natürlich nicht sein lassen, also habe ich die Box jetzt zum dritten mal zerlegt.
Die anderen beiden 0.2.6-Images hab ich unter Knoppix 5 gebaut, den dritten Versuch jetzt wieder unter Cygwin. Das Ergebnis bleibt gleich: Firewall automatisch starten lassen, Box danach platt. Ich habe diesmal nur die Whitelist mit meinen drei "sicheren" Netzen (je 192.168.1xx.0/24) gefüllt, sonst keine weiteren Beschränkungen wie Webif nur an LAN A usw.

Bin ich der einzige mit diesem Problem oder nur der einzige hier der versucht die Firewall vom Start weg zu laden?

 

[maceis]

Wenn Du so massive Probleme damit hast, was spricht dann dagegen ein Firewallskript via debug.cfg nach /var/tmp zu schreiben und von dort aus zu starten ?
Oder brauchst Du zwingend p_conntrack?

Alternativ kann man die gewünschten Regeln natürlich direkt in die debug.cfg schreiben, was aber IMHO nicht ganz so flexibel ist.

 

[jebu81]

Da spricht generell nichts gegen und so habe ich es bisher bzw. jetzt auch gemacht. Also nicht über die debug.cfg, sondern nach /var/tmp/flash kopiert und dann nach dem Start eben manuell aufrufen. Das verrichtet so auch gut seinen Dienst.

Das eigentliche Problem ist aber ja, dass danisahne eben wegen der telefond-Probleme mit ip_conntrack in der Version 0.2.6 die iptables wohl als erstes bzw. vor den restlichen AVM-Diensten starten lässt. So lange das nur bei mir zu Problem führt kann man da ja mit leben. Gilt das allerdings generell für den ds-mod ist danisahne glaube ich nich ganz so glücklich mit seinem "workaround".

 

[maceis]

Da hast Du natürlich Recht.

> und dann nach dem Start eben manuell aufrufen.
Damit meinst Du aber nicht, dass Du dich mit der Box verbinden musst, und das so richtig "manuell" erledigen musst, oder?

 

[jebu81]

Damit meinst Du aber nicht, dass Du dich mit der Box verbinden musst, und das so richtig "manuell" erledigen musst, oder?

Ich fürchte schon Zu mehr hat es bis lang noch nicht gereicht.

 

[maceis]

hallo,

hatte gar nicht gesehen, dass Du noch einmal geantwortet hast.
Also ich mach das so:
/var/flash/debug.cfg

### Firewall sript ###                         
cat > /var/tmp/firewally <<EOF                 
#!/bin/sh                                      
                                               
case \$1 in                                    
start)                                         
echo starting firewall                         
iptables -P INPUT DROP                         
iptables -P FORWARD DROP                       
iptables -P OUTPUT ACCEPT                      
                                               
iptables -A INPUT -i lo -j ACCEPT              
# usw. -> hier kommen meine iptables rules
;;                                                                              
                                                                                
stop)                                                                           
echo stopping firewall                                                          
iptables -P INPUT ACCEPT                                                        
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
;;                                                                   
                                                                                
*)                                                                              
echo "Usage: \$0 {start|stop}"                                                  
;;                                                                              
                                                                                
esac                                                                            
EOF                                                                             
chmod 755 /var/tmp/firewally                                                    
/var/tmp/firewally start

Damit wird
a) die Firewall mit den von mir vorkonfigurierten Regeln beim Booten gestartet
b) ein Skript unter /var/tmp erstellt, mit dem ich die Firewall manuel starten und stopen kann.
Das Ganze kann man natürlich beliebig erweitern und verfeinern.

 

[ph0x]

Bin ich der einzige mit diesem Problem oder nur der einzige hier der versucht die Firewall vom Start weg zu laden?

Ich hab das Problem auch. Da ich aber ein Doppelposting vermeiden möchte, hier der Link zu meiner Problembeschreibung.


greetz ph0x

 

[knox]

tja, ich habe das selbe problem. bin aber in diesem thread wegen dem nicht passenden topic erst jetzt vorbei gekommen...